Hace unos días, el 6 de febrero de 2025, nos reunimos para celebrar otro encuentro de la MeetUp de WordPress Valencia, que tengo el placer de coorganizar. Esta vez hablamos de ciberseguridad, un tema acerca del cual se ha empezado a reflexionar con mucha más frecuencia en los últimos años como resultado de ciberataques a empresas y entidades públicas exponiendo las vulnerabilidades de los sistemas informáticos.
Recordemos algunos casos bastante mediáticos como el del Hospital Clinic de Barcelona en el 2023. El grupo RansomHouse exigió el pago de 4,25 millones de euros para no hacer públicos los datos sensibles de cientos de pacientes. Otro ejemplo, también de 2023, es el de Air Europa: los ciberdelincuentes se hicieron con los números de tarjetas bancarias, su fecha de caducidad y el código CVV de cientos de clientes. Más recientemente, a principios de febrero de 2025, detuvieron a un hacker en Alicante, con más de 40 ciberataques a organismos como la Guardia Civil, el Ministerio de Defensa y la OTAN, entre otros.
Estos son ejemplos de ataques a grandes corporaciones u organismos públicos. Sin embargo, las pequeñas y medianas empresas también se pueden ver afectadas. Personalmente, tuve una vivencia trabajando como e-commerce manager para un fabricante de teléfonos móviles. Un día, notamos una caída repentina en las ventas y, al investigar la web, descubrimos que los clientes eran redirigidos a un sitio malicioso al iniciar el proceso de pago. Afortunadamente, logramos solucionar el problema con rapidez y no tuvimos reclamaciones.
Teniendo en cuenta la importancia de este tema y la necesidad de establecer protocolos de seguridad desde el inicio de la programación de una web, tuvimos una invitada muy especial, Sara Martínez. La conocí en RootedCon Valencia 2024 cuando daba una charla para profesionales de ciberseguridad.
Desde hace 10 años, Sara Martínez se dedica al análisis y pruebas de calidad de softwares de ciberseguridad en el área de telecomunicaciones, geolocalización, Big Data y Electrónica de Potencia. Actualmente es responsable de Ingeniería de Desarrollo de Software en Pruebas en Telefónica Tech, por sus siglas en inglés SDET, Software Developer Engineer Test. Esta especialidad testea el producto informático a lo largo de toda su producción, desde la fase inicial de desarrollo, pasando por la de pruebas y calidad. Asimismo, participa en congresos como ponente y tiene su propio proyecto Testing Soul.
El objetivo de su charla “Ciberseguridad en WordPress: Riesgos y Protecciones”, fue explicar cómo hacer ciberseguros nuestros productos. Para ello destacó aspectos como el uso de código seguro, estar alerta a las nuevas vulnerabilidades, riesgos, ataques y tomar acción para proteger las webs desde el inicio.
Para sumergirnos en este mundo, Sara comenzó definiendo el concepto de ciberseguridad de esta forma: “es el arte de proteger redes, dispositivos y datos de accesos no autorizados o usos delictivos y la práctica de garantizar la confidencialidad, integridad y disponibilidad de la información”*. Recalca que si llevamos información al ciber-entorno, vamos a tener cierta responsabilidad con su protección y para ello es importante implementar el ciclo de desarrollo de software seguro, más conocido por sus siglas en inglés SSDLC (Secure Software Development Life Cycle), una de sus especialidades. Además, finalizó esta parte con una aclaración muy importante: “un hacker no es un criminal, un ciberdelincuente es un criminal. Un hacker es una persona que va a llevar la tecnología más allá de los límites y la explora”.
Después de estas explicaciones preliminares sobre la ética y la necesidad de la ciberseguridad, comenzó a contarnos cómo aumentaban exponencialmente los CVEs cada año. Solo, en el primer mes de 2025, se habían detectado unas 5000 nuevas vulnerabilidades y exposiciones en softwares (CVE). Según Sara, una predicción rápida a partir de esa cifra daría unos 60.000 CVEs para este año. Una cantidad considerable en su opinión. “Actualmente se hace mucho software y muchas webs y hay muchas patitas sueltas por ahí”, -nos comenta Sara.
Un CVE, por sus siglas en inglés, significa “Common Vulnerabilities and Exposures”, traducido al español «Vulnerabilidades y Exposiciones Comunes”. Estos son errores en el código o la configuración del software y permiten a un atacante obtener acceso indirecto a sistemas y redes. Por ejemplo, una vulnerabilidad en un servidor web permite la ejecución remota de código. En 2024, los tipos de ataques informáticos más frecuentes fueron el cross-site scripting (XSS) y las inyecciones de SQL, como consecuencia de estos CVEs.
Posteriormente, se refirió a los CWE (Common Weakness Enumeration), por sus siglas en inglés, traducido al castellano como «Enumeración de Debilidades Comunes». Este concepto señala las debilidades generales en el diseño o implementación del software (Web) y pueden llevar a vulnerabilidades. Un CVE es el resultado de una CWE porque una debilidad en el código (CWE) puede generar una vulnerabilidad específica (CVE). Por ejemplo: La falta de validación de entradas (CWE-20) puede facilitar la inyección SQL o XSS.
La vinculación entre estos dos conceptos destaca la importancia de crear un código seguro y de entregar un producto seguro, y esto depende de quienes lo elaboramos. En el caso de WordPress, las debilidades pueden llegar de la mano de un código de terceros, como son los plugins o templates, porque es un código que no se controla totalmente, por eso es importante tener clara la base en la que trabajamos -asegura.
Estas debilidades ocurren en diferentes fases:
- Durante la implementación: 85.1%
- Arquitectura y diseño: 57.2%
- Operación: 17,9%
- Instalación: 7,2%
Algunos de las agresiones cibernéticas más comunes en WordPress el año pasado fueron el robo de credenciales; inyecciones SQL a través de plugins, -5 plugins comprometidos infectaron un millón de webs-; malwares dando como resultado más de 10.000 dominios afectados; y servidores con poca seguridad.
Después de este análisis, llegó el momento de los «puntos de acción» para entregar un producto seguro, “porque la ciberseguridad no es cuestionable y hay que trabajar en ella”*, y WordPress está en el punto de mira. ¿Cuáles son estas recomendaciones?
- Cultura de calidad y seguridad:
- Promover la necesidad de crear productos seguros.
- Herramientas de análisis:
- A nivel de herramientas de auditorías nos deja: InspectWP. Es importante comprobar si ha sido actualizada recientemente.
- Plugins y actualizaciones:
- Hacer una análisis antes de seleccionarlos
- ¿Qué procedencia tiene?
- ¿Tiene una comunidad fiable detrás?
- Ciclo de actualizaciones
- Selección de Hosting:
- Se lo damos todo a un tercero; debemos ser exigente con el hosting
- Versión Servidor: El Apache y el Nginx deben estar actualizados
- Acceso seguro con 2FA
- Buena gestión de servidores compartidos
- Protección DDoS
- WAF
- Antimalware
- Monitorización
- Actualizaciones
- Backups
- Pruebas
- Permisos y roles: Escalado de privilegios
- Ficheros: Solo ficheros válidos
- Login: Contraseña robusta
- 2FA
- Restablecimiento
- Cookies
- Formularios: Limitar inputs (ie.XSS)
Para finalizar, nos recuerda que en ciberseguridad no podemos dar nada por sentado, porque el entorno cambia constantemente. La mejor herramienta de este año no lo será necesariamente el siguiente. Por eso, es fundamental mantenernos actualizados y siempre alertas.
Y así entramos en el momento de las preguntas y los comentarios, donde tuvimos un debate muy interesante sobre protocolos de seguridad y cómo aplicarlos. Después llegó el momento del “beerworking”, una excelente oportunidad para seguir intercambiando ideas y opiniones de manera más relajada.
Fue una charla muy interesante y amena, el contenido, aunque suele ser complicado, se comprendió con facilidad. Una de las ideas claves de la tarde fue la necesidad de crear un código seguro, el cual depende de sus autores y de la gestión adecuada y segura de todo el proceso de creación, para así evitar las vulnerabilidades que ponen en riesgo nuestros datos y permiten los ataques. Intentando hacer un simil con la vida física, diría que es necesario tener una cerradura de buena tecnología en la puerta principal de tu casa y cerrarla bien para impedir el acceso de los ladrones.
Gracias Sara, si te preguntas si nos ha llegado tu mensaje, la respuesta es sí. El próximo 9 de septiembre, día del tester, te felicitaremos, los testers hacéis una gran labor alertándonos de los bugs que pueden hacer más difícil nuestra vida cibernética.
Y para concluir, concluir, nos fuimos de cenita.
Ahora necesitamos explorar cuáles son esas vulnerabilidades y como monitorizarlas. Esto es tema de otra charla, la cual ya está programada para una próxima MeetUp de WordPress Valencia. Apúntate aquí!
Muchas gracias a Wayco por cedernos el espacio para este encuentro y a Raiola por patrocinar el networking.
¡Nos vemos pronto!
Puedes ver la charla aquí. Gracias.
Fuentes:
* https://www.cisa.gov/news-events/news/what-cybersecurity
*Sara Martinez. Charla: “Ciberseguridad en WordPress: Riesgos y Protecciones”, 06/02/2025. MeetUp WordPress Valencia. Wayco Cabañal. https://wordpress.tv/2025/03/01/ciberseguridad-en-wordpress-riesgos-y-protecciones/
